СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.12.2025
#ИБ#ИИ

GhostPenguin: многопоточный Linux-бэкдор с RC5 и UDP/53

Исследователи обнаружили новый бэкдор для Linux под названием GhostPenguin. Это многофункциональное вредоносное ПО, написанное на C++, отличающееся многопоточной архитектурой, низкой детектируемостью и использованием нестандартного канала связи — UDP 53. GhostPenguin обеспечивает удалённый доступ к оболочке, широкие возможности по манипуляции файловой системой и поддерживает устойчивое присутствие в системе с помощью механизмов регистрации и heartbeat.

Ключевые характеристики

  • Язык разработки: C++;
  • Многопоточная архитектура для синхронизации и управления функционалом;
  • Канал связи: UDP порт 53;
  • Шифрование коммуникаций: RC5;
  • Удалённый shell через /bin/sh и выполнение команд с сервера C&C;
  • Операции с файлами и каталогами: создание, удаление, переименование, чтение, запись, изменение временных меток;
  • Механизм регистрации, сбор системной информации и периодические heartbeat-сообщения;
  • Наличие артефактов отладки, указывающих на продолжающуюся разработку.

Поведение и функциональность

При первом запуске GhostPenguin выполняет процедуру регистрации: собирает системную информацию (IP-адрес, версию ОС, имя хоста и пр.) и отправляет эти данные на сервер управления (C&C). После установления связи бэкдор получает команды от оператора и способен обеспечить удалённый доступ к оболочке системы, исполняя /bin/sh.

Функциональные возможности включают полный набор операций с файловой системой — от создания и удаления до чтения/записи и корректировки временных меток. Для управления своими задачами вредоносное ПО использует несколько потоков, синхронизированных посредством внутреннего сеансового подтверждения и систем сигнализации.

Коммуникации и шифрование

Все коммуникации с C&C проходят по UDP порту 53, что может усложнять обнаружение, поскольку этот порт традиционно используется для DNS-трафика. Передача данных защищена алгоритмом RC5. Вредоносное ПО реализует структурированный сеансовый handshake и периодические heartbeat-сообщения для поддержания активного состояния и восстановления связи при необходимости.

«Нестандартное использование UDP 53 и шифрование RC5 делают GhostPenguin сложным для обнаружения средствами, ориентированными на стандартный сетевой трафик», — отмечают аналитики.

Механизмы устойчивости и контроля экземпляров

GhostPenguin проверяет контекст выполнения и создает временный PID-файл в домашнем каталоге текущего пользователя. Этот PID-файл используется для предотвращения запуска нескольких одновременных экземпляров: вредоносное ПО считывает PID, проверяет существование процесса системными вызовами и при обнаружении другого активного экземпляра прерывает свою инициализацию.

Как обнаружили: AI + автоматизация

Анализ и выявление GhostPenguin были выполнены с применением управляемого искусственным интеллектом подхода к поиску угроз. Исследователи собрали образцы Linux с низкой детектируемостью из VirusTotal, сформировали структурированную базу артефактов вредоносного ПО, автоматизировали процессы профилирования и применили настраиваемые правила YARA для выявления ранее неизвестных образцов. Наличие отладочных артефактов свидетельствует о том, что GhostPenguin всё ещё развивается.

Риски для инфраструтуры и рекомендации

GhostPenguin представляет реальную угрозу для серверов и рабочих станций Linux за счёт сочетания скрытности, устойчивости и широких возможностей управления системой. Эксперты дают следующие практические рекомендации для защиты и обнаружения:

  • Мониторить аномалии на UDP порт 53, особенно не-DNS-подобный трафик и частые периодические соединения;
  • Контролировать процессы, инициирующие /bin/sh из сетевых соединений или неожиданно запускающиеся от непривычных пользователей;
  • Проверять наличие временных PID-файлов в домашнем каталоге пользователя и сверять их с реальными процессами;
  • Добавлять в инструменты обнаружения и кореляции событий поведенческие сигнатуры для активности, характерной для GhostPenguin (heartbeat, регистрация, манипуляции с файлами через сеть);
  • Использовать YARA-правила и автоматизированные пайплайны анализа образцов и артефактов для раннего выявления схожих семейств ПО;
  • Проводить массовую проверку образцов через VirusTotal и другие репозитории, а также делиться индикаторами с отраслевыми сообществами.

Вывод

Открытие GhostPenguin подчёркивает эффективность интеграции искусственного интеллекта и автоматизации в поиске сложных угроз, одновременно указывая на необходимость постоянного улучшения методологий защиты. Наличие отладочных артефактов означает возможность дальнейшего развития бэкдора, что требует от организаций проактивного мониторинга и обновления средств обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: